Как перейти на https к без последствий, и надо ли?

С 2016 года Google рекомендует заменить протокол http на https. Объясняя это использованием шифрования, обеспечением высокой сохранности данных и надежной аутентификацией у последнего. Если раньше это было лишь советом, то с октября 2020 года станет требованием. Google планирует запретить загрузку файлов по http, а значит пользователям, до сих пор игнорировавшим его рекомендации, придется сменить протокол. Как сделать это без последствий? В чем разница между http и https? И зачем они нужны? Давайте разбираться.

Что такое http?

Эти сочетания букв используют для обозначения сетевых протоколов, дающих вашим браузерам возможность загружать страницы сайтов. Протокол http (расшифровывается как HyperText Transfer Protocol – «протокол передачи гипертекста») в 1989-1996 годах создавался для передачи документов, содержащих гипертекст. То есть ссылок, с помощью которых можно было перейти в другие документы. О переходе на https речь зашла только в 2000 году, когда и появился этот протокол.

Перед http ставили задачу - помочь браузеру, через который пользователь подключается к интернету в обмене информацией с веб-сервисом. Делает это такой протокол с помощью текста, который никак не шифруется. Все введенные данные можно отследить и использовать в своих интересах. Именно из-за этого недостатка протокола и появилась необходимость в его собрате, на первый взгляд отличающимся только буквой S в названии.

И в чем же их различия?

Протокол https (его полное название выглядит как HyperText Transfer Protocol Secure), по сути, безопасная версия http. Она помогает пользователю установить зашифрованное соединение с веб-сервером и только после этого передавать различные данные. Первое время после появления безопасного протокола его использовали только там, где важна была сохранность данных, например, для интернет-магазинов и сайтов, содержащих много личных данных. А http для так называемого несущественного трафика (различных новостных и информационных сайтов). Чем значимее становится приватность, тем больше сайтов вынуждены защищать передаваемые данные с помощью перехода на https. Сегодня попадая на сайт с небезопасным протоколом вы сразу же видите всплывающее сообщение:

Согласитесь, желание оставлять личные данные на таком ресурсе мгновенно пропадает. Уж лучше поискать сайт, владельцы которого понимают значимость конфиденциальности.

Так ли это важно?

Чтобы посторонние не могли использовать ваши пароли от карт и социальных страниц, паспортные данные и прочую информацию, передаваемую в печатной или звуковой форме, она переформатируется в шифротекст. Для этого используют один из методов шифрования:

• симметричное

Такое шифрование, при котором возможность превратить информацию в открытый текст (или попросту расшифровать ее) есть и у пользователя, и у владельца сайта. Обе стороны владеют общим ключом. Что несколько осложняет переход на https. Сложность при использовании симметричного шифрования заключается в необходимости передачи ключей. Это нужно делать так, чтобы они не стали доступны посторонним лицам.

• ассиметричное

При использовании этого метода шифрования держателям секретного и публичного ключа может быть только одна сторона. Чаще всего это владелец сайта.

Что еще дает https пользователю?

Сохранность личных данных – лишь один из плюсов протокола. Есть еще несколько:

• целостность

Протокол позволяет передавать информацию в полном объеме и без изменений. Владелец ресурса может быть уверен, что на его сайте не окажется посторонней рекламы или ссылок для перехода на вредоносные площадки. А пользователь в свою очередь может быть уверен в безопасности сайта.

• подлинность

Делая покупки на сайте, использующем https-соединение, вы защищаете себя от мошенников. Они не могут перенаправить вас на поддельный сайт, а значит и поживиться вашими деньгами. Тогда как на сайтах, работающих по протоколу http, у них такая возможность есть.

Чтобы пользователь не был обманут, подлинность сайта подтверждает третья сторона – центр сертификации. Он выдает ресурсу сертификат, в котором содержится информация о соответствии доменного имени публичному ключу. У этого документа есть дата окончания действия, после которой владелец сайта должен вновь обратиться в центр сертификации. Получить сертификат можно только после перехода на https.

• защита от атак хакеров

Благодаря тому что сетевое соединение тщательно отслеживается, сайт получает максимальную защиту от DDOS-атак. Чем больше сайтов переходит на безопасный протокол, тем сильнее давление хакеров ощущают те, кто сохранил верность http.

• доверие пользователей

Даже те, кто не понимают тонкостей различий протоколов, точно знают, что значок закрытого замочка напротив адреса сайта обещает безопасность. А потому предпочитают такие ресурсы другим.

• улучшение позиций в поисковой выдаче

Конечно, с помощью https вы не выйдете в топ, если ваш сайт не оптимизирован и не продвигается. Во время ранжирования роботы учитывают порядка 200 факторов, поэтому переход на безопасный протокол на продвижении сильно не отразится. А вот если вы уже раскручиваете свой сайт и хотите добиться большей лояльности поисковиков, милости просим на https. И Google, и Яндекс симпатизируют сайтам, выбравшим этот протокол. Это подтверждает и выдача поисковиков, и данные, публикуемые в «Справке».

Есть ли минусы?

Куда же без них.

1. SSL-сертификат придется оплачивать ежегодно. Цена вопроса зависит от того, какой именно тип вы выберете. О типах расскажем чуть-чуть позже.

2. Скорость работы сервера немного снизится.

Это естественно, ведь серверу теперь придется еще и шифровать данные, которые он передает. Однако эту проблему можно решить с помощью механизма HSTS. Благодаря ему, запросы будут обрабатываться быстрее, а страницы запрашиваться через https, даже если их вводят со старым протоколом. Если до перехода на https механизм HSTS был отключен, не забудьте его активировать.

Разберемся с названиями

Для обозначения сертификата, позволяющего пользоваться протоколом https, используют сокращение SSL. Оно расшифровывается как Secure Socket Layer, что буквально переводится «слой защищенных сокетов».

У сертификатов могут быть разные свойства. В связи с этим выделяют следующие типы:

• классические SSL-сертификаты

Они подтверждают только домен и выпускаются автоматически. Чтобы заказать такой сертификат, достаточно воспользоваться панелью управления хостингом.

• SGS-сертификаты

Этот тип сертификатов не пользуется особой популярностью, потому как необходимости в нем в современных реалиях нет. Создавался он для повышения уровня шифрования в старых браузерах до 128 бит.

• Wildcard-сертификаты

Активно используются, когда у владельца сайта помимо основного домена есть несколько дополнительных. Приобретая такой сертификат, вы одновременно совершаете переход на https на всех доменах.

• SAN-сертификаты

Применяются теми, у кого на одном сервере располагается минимум 5 доменов. Если у вас их больше, можно приобрести сертификат на 10,15 или 20 доменов. Промежуточных вариантов нет, потому как при выпуске SAN-ов соблюдают шаг в 5 доменов.

• EV-сертификаты

Чтобы получить такой сертификат, нужно обратиться в центр сертификации. Специалисты этого центра сначала проверят, принадлежит ли ресурс юридическому лицу, подавшему заявку. Потом существование организации. И только если все это подтвердится, выдадут сертификат.

• с IDN-поддержкой

Подходит для сайтов, домены которых находятся в зонах, названия которых обозначаются не латинскими буквами. Например, в зонах .рф, .бел, .укр, .срб.

Сертификаты бывают разными...

Существует несколько типов:

• на количество используемых доменов

Изначально сертификаты содержали единственный домен, указанный в поле CN. Затем для указания альтернативного имени домена добавили поле SAN. Теперь в каждом сертификате указывается 2 домена: основной (например, yalstudio.ru) и дополнительный (www.yalstudio.ru).

Если у владельца ресурса несколько доменов, центр сертификации выдает документ с маркировкой SAN или UCC. В нем прописывается каждый домен в двух вариациях: основной и альтернативной.

При наличии поддоменов выдается сертификат другого типа. В нем может быть прописано до 100 поддоменов.

• на проверку подлинности

Сертификат типа DV выдают сайтам, подтвердившим соответствие домена и публичного ключа. Заходя на площадки, получившие такой сертификат, напротив их адреса вы видите закрытый замок. А после клика на него – сообщение о том, что веб-сайт не предоставил информацию о владельце. Что это значит? Что центр сертификации получил от домена только публичный ключ и больше ничего. Поэтому доверять таким сайтам можно, но не на все 100%.

Расширенное подтверждение, именуемое EV, выдается сайту только после того, как центр сертификации проверит юридическое лицо, владеющее им. Частное лицо такой сертификат получить не сможет, даже при желании и финансовых возможностях. Проверка юр.лица проводится на:

• наличие данных о компании и владельце в государственном реестре;
• присутствие в независимых бизнес-справочниках (типа Yellow Pages и Dunn);
• наличие действующего сертификата DV;
• подлинность всех доменных имен, прописанных в сертификате;
• подлинность телефонного номера.

Изготавливается такой документ 10-14 дней (зависит от загруженности центра сертификации), тогда как DV, как правило, выдают мгновенно. Раньше сайты, имеющие расширенный сертификат, можно было распознать, взглянув на их адресную строку.

Она подсвечивалась зеленым цветом, содержала значок замочка, название организации и страны, в которой она находится. Однако после удаления визуального индикатора EV обычный пользователь таких данных не видит, а потому воспринимает ресурсы с расширенными сертификатом (EV) и OV одинаково. Что заставляет владельцев сайтов отдавать предпочтение сертификатам, подтверждающим только существование организации.

Почему переход на https до сих пор не сделали все сайты?

На это есть несколько причин:

1. лишние траты

Многих владельцев сайтов смущает, что на сертификат придется постоянно тратиться. Сначала на покупку, потом на настройку, а затем и на поддержание его в действующем состоянии.

2. протокол может работать неправильно

После смены протокола необходимо пройтись по коду сайта. И привести все абсолютные ссылки к следующему виду:

Либо заменить их относительными:

Если этого не сделать, напротив адреса сайта будет показываться надпись «Не защищено». Но если вы заглянете внутрь адреса, обнаружите протокол https. Вот такой парадокс. Не зная о котором, владелец сайта может напрасно заплатить за сертификат.

3. необходимость перенастройки поисковой оптимизации

Чтобы поисковые роботы нормально индексировали сайт, необходимо сообщить им о смене протокола. Сделать это можно с помощью панели вебмастера. В ней нужно указать новый адрес сайта и внести изменения в следующие пункты:

• индексирование;
• геотаргетинг;
• файлы sitemap.xml;
• список ссылок в Disawov Tool (Google);
• исключенные параметры URL (Google).

4. внесение изменений на внешних ресурсах

Для работоспособности ссылки на ваш сайт, расположенной на других площадках, придется посетить их все и вручную добавить к старому протоколу букву S. Работа кропотливая и требует много времени.

Как перейти на https без последствий?

Чтобы смена протокола прошла легко и не стала причиной возникновения проблем, проводить ее нужно в несколько этапов:

• Подготовьтесь к переходу

Если вы не хотите столкнуться с неправильной работой протокола, измените все абсолютные ссылки на относительные до перехода. Составьте полный список (на это уйдет не больше часа) и поручите эту работу программисту.

• Приобретите SSL-сертификат

Рассчитываете, что переход на https пройдет без затрат? Владельцы некоммерческих сайтов могут воспользоваться бесплатным сертификатом. Его также называют самоподписным или self-signed, потому как любой пользователь может сгенирировать такой сертификат в панели управления хостингом. Только не удивляйтесь, если браузер не воспримет его всерьез.

Довольно часто браузеры считают, что сертификат не является доверенным, а потому не присваивают сайту статус безопасного. С платными таких казусов не возникает, если вы заранее позаботитесь о переходе.

• Придерживайтесь инструкции

1. Чтобы не потерять позиции в поисковой выдаче из-за смены протокола, для начала загляните в Яндекс.Вебмастер. В адресе главного зеркала замените http на https.

2. Настройте 301-ый редирект страниц, работающих по старому протоколу. Тщательно проверьте не пропустили ли вы что-то.

3. Заберитесь в html-карту ресурса и поменяйте во всех ссылках старый протокол на безопасный.

4. После этого откройте файл robots.txt и обновите в нем ссылку на карту сайта. Проверьте, чтобы сохранилась ссылка с новым протоколом. Подробнее об этом файле и работе с ним мы рассказывали совсем недавно.

5. Если на страницах используются теги, <base> или <link rel=”canonical”>, ссылки внутри них также нужно изменить с учетом нового протокола.

Что-то осталось непонятным? Тогда скажите нам об этом в комментариях. Мы постараемся дать больше пояснений по вашему вопросу. Не смогли перейти на безопасный протокол самостоятельно? Не страшно, наши специалисты помогут. Причем не только со сменой протокола. С полным перечнем наших услуг и ценами на них можно познакомиться на этой странице.

 Другие материалы по теме:

• Что такое органические показы в «Твиттере», и как продвигаться в этой социальной сети?
• Цена заявки: что это такое, и как рассчитывается? Что влияет на стоимость заявки в контекстной рекламе?
• 7 причин заказать настройку сквозной аналитики прямо сейчас